«Ростелеком» отрицает утечку базы данных приложения «Госуслуги СТОП Коронавирус»: «данные были сгенерированы вне системы»
Компания «Ростелеком» (исполнитель по развитию инфраструктуры электронного правительства в России) отреагировала на сообщения о попавшей в открытый доступ базе данных о QR-кодах вакцинированных граждан: согласно сообщению, база данных приложения «Госуслуги СТОП Коронавирус» является недействительной, опубликованные в «даркнете» данные были сгенерированы вне системы.
Приводим сообщение «Ростелекома», присланное в редакцию поздно вечером во вторник.
«База данных приложения «Госуслуги СТОП Коронавирус» является недействительной.
Опубликованная в «даркнете» база данных приложения «Госуслуги СТОП Коронавирус» не является валидной. Результаты внутренней проверки ПАО «Ростелеком» показали, что опубликованные данные были сгенерированы вне системы и не имеют отношения к действующей базе пользователей приложения.
После сообщений об утечке информации была проведена выборочная проверка QR-кодов и подтверждена их неработоспособность.
Сгенерированная база содержит первые буквы ФИО, дату рождения и четыре последние цифры паспорта. Эти данные не относятся к персональным.
Специалисты по ИБ продолжают внутреннюю проверку по факту публикации в «даркнете» базы обезличенных данных. Персональные данные пользователей находятся в безопасности».
В среду утром Telegram-канал «Утечки информации», первоисточник новости, опубликовал обновлённые данные о том, что возможность проверки QR-кодов по УНРЗ (уникальный номер регистровой записи пациента) больше не работает. Соответственно, все QR-коды в продающейся на форуме базе уже не действительны. При этом накануне вечером выборочная проверка показала, что QR-коды действительные, ведут на сайт госуслуг и данные в образце полностью совпадают с тем, что указано на официальной странице проверки QR-кодов.
Как прокомментировали во вторник вечером в Минцифры, в упомянутых сообщениях говорится про утечку публично доступных обезличенных маскированных данных (первые буквы ФИО, дата рождения и четыре последние цифры паспорта).
«Для того, чтобы воспользоваться QR-кодом с этими данными, необходимо предъявить удостоверение личности. В самой базе приложения персональные данные граждан не содержатся. При этом выборочная проверка опубликованных QR-кодов показывает их неработоспособность. В связи с этим подтвердить валидность этих данных не представляется возможным», — говорится в сообщении.
Приложение «Госуслуги СТОП Коронавирус» от Минцифры используется для проверки подлинности сертификата вакцинированного или переболевшего COVID-19. Если приложение обнаружит QR-код, данные о котором отсутствуют в реестрах, оно выдаст ошибку.